Certificatul CA rădăcină este instalat în mod normal la capătul opus al conexiunii TLS cu certificatele din fișierul PKCS#12 (PFX).
Dacă fișierul PKCS#12 conține un certificat de autentificare client împreună cu cheia sa privată și certificatul CA care l-a emis (și eventual alte certificate CA intermediare), lanțul este instalat pe dispozitivul dvs. și utilizat pentru a vă autentifica pe un server la distanță. Serverul respectiv ar trebui să aibă CA rădăcină instalată în depozitul său de ancorare de încredere, dacă are încredere în acel CA rădăcină, pe care îl folosește pentru a verifica certificatele din PKCS#12 prezentate de client.
În mod foarte similar, dacă fișierul PKCS#12 conține un certificat de autentificare a serverului împreună cu cheia sa privată și certificatul CA care l-a emis (și eventual alte certificate CA intermediare), atunci lanțul este instalat pe serverul dvs. și utilizat pentru a-l autentifica la dvs. dispozitiv. Dispozitivul dvs. ar trebui să aibă CA rădăcină instalată în magazinul său de ancorare de încredere, dacă aveți încredere în acel CA rădăcină, pe care îl folosește pentru a verifica certificatele din PKCS#12 prezentate de server.
Spunând asta, un PKCS#12 este pur și simplu un container, deci sunt permise alte combinații de certificate și chei, dar cele de mai sus sunt cele mai comune două cazuri de utilizare.
Dacă instalați toate certificatele din PKCS#12, nu înseamnă că aveți încredere în niciun certificat CA rădăcină din interior. În cine/în ce ai încredere nu este bilateral - este alegerea ta. Trebuie să faceți în mod explicit această alegere pentru a asigura integritatea sistemului.
De exemplu, dacă instalați un PKCS#12 în browserul dvs. Firefox, astfel încât să vă puteți conecta la un site web, nu are sens să instalați automat orice CA rădăcină în PKCS#12 în magazinul de ancorare de încredere al Firefox. Este posibil să nu doriți să aveți încredere în acel CA rădăcină pentru verificarea serverelor web, ci doar pentru verificarea clienților. Adică, nu depinde de dezvoltatorii Firefox să decidă în ce CA rădăcină aveți încredere.
În mod similar, dacă instalați PKCS#12 pe un server Windows, acesta poate prezenta acele certificate oricăror clienți care se conectează la acesta și acești clienți (dacă au certificatul CA rădăcină instalat în magazinul de ancorare de încredere) vor avea încredere în server. Cu toate acestea, asta nu înseamnă automat că doriți să aveți încredere în alte certificate prezentate serverului dvs. de la acel CA rădăcină, cum ar fi certificatele de autentificare client.
Concluzia este că depinde de tine să decizi în ce să ai încredere.